Проброс трафика через Linux машину используя Proxy ARP |
[исправить] |
Пусть:
x.x.x.96/28 - выделенная подсеть, которую нужно распределить по машинам в локальной сети.
x.x.x.97 - IP внешнего шлюза.
Требуется поставить между шлюзом и сетью фаервол,
с одним адресом на двух интерфейсах x.x.x.98, транслируя ARP трафик используя "Proxy ARP".
(x.x.x.99 ... x.x.x.110) --- (eth1, x.x.x.98 | eth0, x.x.x.98) --- (x.x.x.97)
Удаляем маршруты созданные по умолчанию.
ip route del x.x.x.96/28 dev eth0
ip route del x.x.x.96/28 dev eth1
Пакеты для x.x.x.97 пускаем через eth0, а для x.x.x.96/28 через eth1
ip route add x.x.x.97 dev eth0
ip route add x.x.x.96/28 dev eth1
Включаем Proxy ARP
echo 1 > /proc/sys/net/ipv4/conf/eth0/proxy_arp
echo 1 > /proc/sys/net/ipv4/conf/eth1/proxy_arp
|
|
|
|
Раздел: Корень / Администратору / Сетевая подсистема, маршрутизация / Policy routing |
1.1, Васька (??), 02:07, 22/11/2005 [ответить]
| +/– |
супер! просто супер! даже не верится что это может работать! это ж замена глючной функции бридж... неужели оно работает... дык это просто циско каталист можно собрать... | |
|
2.2, Петька (?), 10:59, 22/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
Может и не замена бриджу, а альтернатива, важен результат, а не язвительная критика проходящих мимо теоретиков. | |
|
1.3, Васька (??), 00:45, 25/11/2005 [ответить]
| +/– |
теоретик- не теоретик, но бридж-проджект запрошен как лет 5 под линуксом, с новыми ядрами ничо не работает, а если работает, то кроме как пре-альфа-тестингом это назвать нельзя.
если прокси-арп реально работает - это просто спасение- спасибо автору.
| |
|
2.4, _Nick_ (ok), 04:52, 26/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
>теоретик- не теоретик, но бридж-проджект запрошен как лет 5 под линуксом, с
>новыми ядрами ничо не работает, а если работает, то кроме как
>пре-альфа-тестингом это назвать нельзя.
>если прокси-арп реально работает - это просто спасение- спасибо автору.
Васька, есть примета. Если перелез с 2.2 ядра на 2.6 и ниче не работает, то нужно бинари пересобрать (и жылательно посвежее сырцы взять) | |
|
1.6, oavustar.ua (?), 14:02, 15/02/2007 [ответить]
| +/– |
Это как заброшен (я про прозрачный бриджинг в Линуксе)???
Xen его и пользует и надо сказать очень удобно !! | |
1.7, N.leiten (?), 22:25, 18/09/2007 [ответить]
| +/– |
По статье. не стоит забывать о такой неприятной вещи, как первоначальная задержка. дабы искоренить этот эффект я делаю так:
echo "1">/proc/sys/net/ipv4/neigh/eth0/proxy_delay
echo "1">/proc/sys/net/ipv4/neigh/eth1/proxy_delay
Ну и на заметку. Если чтобы не усложнять себе жизнь при использовании iproute2, при построении сети вида ЧастьА<=>ЧастьБ советую делать так:
ip addr add 192.168.0.10/24 brd + dev eth0
ip addr add 192.168.0.10/32 brd + dev eth1
ip ro add 192.168.0.0/28 dev eth1
Почему так? Порядок проверки маршрутов. Приоритетнее идут маршруты с наименьшей маской подсети. Ну а маска /32 на интерфейсе eth1 освобождает нас от лишний телодвижений по удалению маршрутов. Для eth0 пропишется маршрут в основную подсеть...
| |
|